专家解读 | NIST网络安全框架(1):框架概览

c62df9efab590c3b5f169b9d32773ab7.jpeg


着信息技术的快速发展,组织面临着越来越严峻的网络安全挑战。NIST网络安全框架(NIST Cybersecurity Framework,CSF)是一个灵活的综合性指南,旨在协助各类组织建立、改进和管理网络安全策略,以加强网络安全防御和响应能力。本系列文章主要围绕该框架的核心内容、使用方法和应用示范展开讨论,以帮助使用者更好地利用该工具进行网络安全架构的规划、设计、开发和运营。

本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的网络安全基础设施。 关键字:网络安全框架;风险管理;威胁检测

背景与起源


在数字化的时代,信息技术的快速发展为组织带来了巨大的机遇,同时也暴露了其面临的严峻网络安全挑战。2013年2月,美国总统奥巴马颁布了行政命令“改善关键基础设施网络安全”(EO 13636),目标是通过建立一个框架,改善政府和私营部门之间的信息共享和协作,从而提升关键基础设施的网络安全能力。 NIST通过与政府机构、私营企业以及学术界的广泛合作,于2014年发布了CSF 1.0,该框架是基于现有标准、指南和实践的自愿指南,旨在帮助关键基础设施组织更好地管理和降低网络安全风险。2018年4月,NIST更新发布了CSF 1.1,并于2024年2月再次更新为CSF 2.0。 根据利益相关者的反馈,为了反映不断变化的网络安全形势,帮助组织更轻松、更有效地管理网络安全风险,NIST在CSF2.0中引入了一系列的修改,本系列相关文章将针对CSF 2.0展开讨论。

98f1cf50ed6be9ab85b8a6747e43a03d.jpeg图1 NIST CSF的发展历程


内容组成


CSF框架主要包含三个部分:框架核心(Core)、配置文件(Profile)和实施层级(Tier)。其中, ●  核心(Core):定义了一组网络安全成效(Outcome),以及相关成效的实现示例和参考信息; ●  配置(Profile):利用核心部分定义的成效,描述组织当前或未来要达到的网络安全状态; ●  层级(Tier):描述网络安全风险管理的成效等级,以指导配置的创建和设计。

6be5d6159ea0d254d0369038c56e2671.jpeg

图2 NIST CSF的内容组成


1.核心(Core) CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。

2a6c8247df6c94fab58a198b51fcf8b8.jpeg图3 CSF Core的内容组织形式


框架核心包含了六个功能(Function):治理、识别、保护、检测、响应和恢复,提供了高层战略视角的网络安全风险管理生命周期。每个功能又被细分为不同类别(Categories)和子类别(Subcategories),并提供了相应的参考信息,如每个子类别适用的现行标准、指南和实践。参考信息用于说明实现某个子类功能的可行方法,或者是将指南或要求与某个子类功能对齐。这些内容来自当前标准、指南和实践的特定章节,可以是适用于各领域关键基础设施的通用内容,也可以是只针对某个特定行业领域的内容。需要注意的是,参考信息仅具有示范意义,并非全面详尽的指南手册,主要引用了框架开发过程中参考的行业指南,或者是合作伙伴在实施框架时使用的网络安全工具和资源。

2.配置(Profile) 通常,组织并不需要使用CSF核心中所有类别(含子类别)的功能,实际上可能也不存在需要全部功能类别的组织。因此,CSF的功能类别本质上是一个可选清单,组织需要选择使用与其自身运营和风险状况最相关的功能。 框架配置是组织基于业务需求从框架类别和子类别中选择出来的成效清单。该配置文件实际上描述了在特定的实施场景中,企业组织将标准、指南和实践与框架核心对齐的过程。 配置文件可用于组织内部或组织之间进行沟通,也可用于通过比较“当前”配置文件(即现状)与“目标”配置文件(即将来),来识别改进网络安全状况的机会。为了制定配置文件,组织可以审查所有的类别和子类别,并基于业务/使命驱动因素和风险评估,确定哪些成效最为重要。

3.层级(Tier) 框架层级用来指导组织如何实施CSF Core,从实施角度提供了组织使用CSF框架的背景,组织看待网络安全风险的观点,以及管理风险的过程。CSF层级定义了4个层级及相应的特征,来刻画描述组织网络安全实践的范围(包括风险治理和风险管理)和层次(包括部分、风险知悉、可重复和自适应)。

5b4ec33590c377030303963c0f77c79a.jpeg

图4 NIST CSF的四个实施层 上述4个层级描述了网络安全风险管理实践的复杂程度,有助于确定网络安全风险管理受业务需求影响的程度,并集成到组织整体的风险管理实践中。 NIST认为,虽然鼓励处于第1层级的组织向第2层级或更高层级迈进,但层级并不代表成熟度水平,而是旨在支持组织对网络安全风险管理进行决策,帮助组织识别不同网络安全活动的优先级和紧迫性,以获得更有效的外部资源。如果成本效益分析(CBA)表明,组织降低网络安全风险是可行的且经济有效时,才鼓励组织进入更高的层级。当组织达成了目标配置文件中所描述的成效,它就成功实施了CSF。当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。

使用与效益


CSF提供了管理网络安全风险的通用语言和系统方法。框架核心包括纳入网络安全计划的活动,可以根据任何组织的需求进行定制。创建框架配置文件的过程为组织提供了一个机会来确定可以加强现有流程的领域,或者可以实施新流程的领域。框架实施层通过层级指导组织考虑其网络安全规划的安全能力级别,同时用作讨论任务优先级、风险偏好和预算的沟通工具。 CSF有助于指导组织各个级别的风险管理活动的关键决策点,从高级管理人员到业务和流程级别,以及实施和运营。虽然CSF在设计时重点考虑了关键基础设施,但它的用途极其广泛,适用于各种规模、行业和成熟度的组织。通过内在的定制机制(层、配置文件和核心均可修改),可以定制框架以供各种类型的组织使用。 CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。



上是“NIST网络安全框架”权说系列的首篇文章,本文主要概括了NIST CSF的主体内容和组成。 本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。

https://mp.weixin.qq.com/s/4zefqVAPe8b3zLaxWHbBEg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/594552.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

leetCode81. 搜索旋转排序数组 II

leetCode81. 搜索旋转排序数组 II 题目思路 可以二分后的具体思路见我的上篇博客 搜索旋转排序数组 代码 class Solution { public:bool search(vector<int>& nums, int target) {if(nums.empty()) return false;int R nums.size() - 1;while(R > 0 &&…

LLMs:《Better Faster Large Language Models via Multi-token Prediction》翻译与解读

LLMs&#xff1a;《Better & Faster Large Language Models via Multi-token Prediction》翻译与解读 目录 《Better & Faster Large Language Models via Multi-token Prediction》翻译与解读 Abstract 2、Method方法 Memory-efficient implementation 高效内存实…

LabVIEW数据库访问技术

LabVIEW数据库访问技术 在当前的信息化时代&#xff0c;数据管理与分析在各个领域中起着重要的作用。特别是在工业、科研等领域&#xff0c;对于数据的快速准确获取、处理和分析需求日益增加。LabVIEW作为一种图形化编程语言&#xff0c;以其直观、高效的特点&#xff0c;在自…

【数据分析】这些年我发过的微信朋友圈

TencentRecordAnalysisV1.0.3.zip 蓝奏云&#xff1a;链接:链接TencentRecordAnalysis (lanzoub.com)密码:9hww 朋友圈还是以本行业岩土、工作相关的内容居多。 对于一个不怎么发圈的人来说&#xff0c;这几天有点反常&#xff0c;这几天大概是我成功的开发了几个失败的GPT应用…

打造亚马逊爆款秘诀:流量、排名与自养号测评的完美结合

亚马逊是一个产品为王的平台&#xff0c;只要我们的产品好&#xff0c;就会有更多的流量&#xff0c;有流量还怕我们的产品卖不出去&#xff1f;身为新手我们店无流量该怎么办&#xff0c;今天教给你们五个获取流量的方法。 1.自然检索 那是我们常说的自然流量&#xff0c;通…

DBCHM 数据库 CHM 文档生成工具

介绍 DBCHM 是一款数据库文档生成工具&#xff01; 该工具从最初支持chm文档格式开始&#xff0c;通过开源&#xff0c;集思广益&#xff0c;不断改进&#xff0c;又陆续支持word、excel、pdf、html、xml、markdown等文档格式的导出。 支持的数据库 SqlServerMySQLOraclePos…

拥抱新质生产力,助力新型工业化!CMM电子展暨IARS机器人展5月东莞盛大起航

2024年5月15-17日&#xff0c;东浩兰生会展集团旗下CMM电子展&#xff06;IARS机器人展将在广东现代国际展览中心&#xff08;东莞厚街&#xff09;举办。展会面积达50000平方米&#xff0c;展示品牌700余个&#xff0c;同期论坛峰会30余场&#xff0c;预计专业观众超50000人次…

肆拾玖坊商业模式分析,新品牌如何采用合伙人模式起盘

坐标&#xff1a;厦门&#xff0c;我是易创客运营肖琳 深耕社交新零售行业10年&#xff0c;主要提供新零售系统工具及顶层商业模式设计、全案策划运营陪跑等。 比茅台盈利模式还牛逼的肆拾玖坊&#xff0c;所有男人都逃不出它的圈套&#xff01;只靠49个男人&#xff0c;用一套…

软考信息系统项目管理师论文突然单独考,其实影响没有想象的大

五一假期的前一天&#xff0c;辽宁省软考办发布了一则通知&#xff0c;安排了辽宁省的软考批次安排&#xff0c;从标题看不出来有用的信息&#xff0c;但是干货是埋在正文中的。我先把辽宁软考办的全文给你附上如下&#xff0c;具体的解读后面我会一一道来。 敲重点来了&#x…

笔记13-OSError: [Errno 24] Too many open files

文章目录 参考文献失败尝试系列查看发现&#xff0c;似乎是因为线程数有限制 修改配置先查查看 增加文件数限制&#xff0c;然后使用命令运行&#xff08;成功&#xff09; 参考文献 Linux 最大可以打开多少文件描述符&#xff1f; OSError: [Errno 24] Too many open files错…

解决在C#中方向键对控件焦点的控制

不要犹豫直接把下面这个程序复制进去就好了&#xff0c;不用担心0个引用&#xff0c;哈哈&#xff0c;可以的 public partial class MainForm : Form {public MainForm(){InitializeComponent();}protected override bool ProcessDialogKey(Keys keyData){// 检查是否是方向键…

基于springboot实现实习管理系统项目【项目源码+论文说明】计算机毕业设计

基于springboot实现实习管理系统演示 摘要 近年来&#xff0c;信息化管理行业的不断兴起&#xff0c;使得人们的日常生活越来越离不开计算机和互联网技术。首先&#xff0c;根据收集到的用户需求分析&#xff0c;对设计系统有一个初步的认识与了解&#xff0c;确定实习管理系统…

【PX4-AutoPilot教程-TIPS】Matlab使用ROS Toolbox编译MAVROS2消息报错缺少geographic_msgs消息

Matlab使用ROS Toolbox编译MAVROS2消息报错缺少geographic_msgs消息的解决方法 问题描述解决方法 环境&#xff1a; MATLAB : R2022b ROS Toolbox : 1.6 Windows &#xff1a;Windows 10 22H2 ROS &#xff1a;ROS2 Foxy 问题描述 在使用Matlab的ROS Toolbox工具箱编译与…

JAVA基础之Swing窗体的几种布局

1、边框布局BorderLayout 特点&#xff1a;5个方位&#xff08;东&#xff08;East&#xff09;南&#xff08;north&#xff09;西(west)北(south)中(center)&#xff09; 是一种简单的布局策略。 使用时&#xff0c;应将其看成一个“组件”。 同样&#xff0c;首先应通…

VMware worksation 17 简易安装Centos8.2、Redhat8.2、Ubuntu16.04

系列文章目录 文章目录 系列文章目录前言一、VMware worksation 17 安装二、安装Centos8.2三、安装RHEL8.2四、安装Ubuntu16.04总结 前言 傻瓜式按照Linux系统&#xff0c;如果觉得简单&#xff0c;可以自定义设置&#xff0c;特别是配置一下磁盘空间大小&#xff0c;对以后排…

通过DataGrip将mysql表结构信息转存excel 复制select结果的insert插入语句

各位小伙伴们大家好&#xff0c;欢迎来到这个小扎扎的专栏 总结 | 提效 | 拓展&#xff0c;在这个系列专栏中记录了博主在学习期间总结的大块知识点&#xff0c;以及日常工作中遇到的各种技术点 ┗|&#xff40;O′|┛ &#x1f306; 内容速览 1 查询表结构信息&#xff0c;并…

我希望未来10年,人工智能可以帮我解决这4件小事

生活在一线大城市的我&#xff0c;现在几乎整天被大数据、人工智能、机器学习、智慧生活的词汇环绕立体包围着&#xff0c;让我时刻感觉到&#xff0c;再过10年&#xff0c;我们五一假期真的可以摆脱现在擦肩接踵的旅游盛况了。但我其实要求倒是没这么高&#xff0c;我真心希望…

AnaTraf 网络流量分析仪 - 网络性能检测与诊断(NPMD)

目录 网络流量回溯分析,快速定位故障 实时监控,洞察网络运行状况 性能分析,优化网络应用 即插即用,无需复杂配置 了解更多 近年来&#xff0c;随着互联网技术的不断发展,网络已经成为企业运营的基础设施。然而,复杂多变的网络环境也给企业的网络管理带来了新的挑战。如何快…

一部手机就能实现24小时AI实景自动无人直播:商业推广拓客进击的全新推广利器

随着科技的迅猛发展&#xff0c;AI实景自动无人直播软件正逐渐成为商家拓展业务的重要工具。其智能讲解、一键开播以及智能回复功能&#xff0c;使得商家能够高效地进行推广活动&#xff0c;而手机拍摄真实场景和自行搭建场景的灵活性&#xff0c;则赋予了直播画面更好的呈现效…